hi,

ich habe einen ldap server aufgesetzt.

alle benutzer habe ich in der ou Users. nun sollen diverse applikationen auf den ldap server zugreifen. das klappt auch. nur sollen nicht alle user die im ldap sind alles dürfen. deshalb habe ich diverse gruppen (radius,smtp,samba, cms,sysadmins etc) unter goups definiert und die user entsprechend zugeordnet. nun das problem:

wie kann ich zB. dem freerdius server sagen, dass er nur user aus gewissen gruppen (zB radius) auslesen und akzeptieren soll?

basedn = "ou=Users,dc=test,dc=local"
filter = "(uid=%{Stripped-User-Name:-%{User-Name}})"

ist die anweisung. nun soll er aber nicht in der ou Users nachschauen sondern in der cn=Radius,ou=Groups,dc=test,dc=local und die user dortrausnehmen!

wie kann ich das machen?

cn=Radius,ou=Groups,dc=test,dc=local
ist ein einzelner Eintrag in dem Zweig ou=Groups,..
Ich kann mir nicht vorstellen, daß dieser Eintrag für jeden benutzer ein UID-Attribut hat.
Vielleicht meinst Du so etwas:
basedn = "ou=Groups,dc=test,dc=local"
filter="(&(cn=Radius)(uid=%{Stripped-User-Name:-%{User-Name}}))"
Oder:
basedn = "dc=test,dc=local"
filter="(&(cn=Radius,ou=Groups)(uid=%{Stripped-User-Name:-%{User-Name}}))"

Du kannst das testen, indem Du halt den Teil hinter "uid=" durch etwas sinnvolles ersetzt und genau mit diesem searchfilter ldapsearch fütterst. Die "" nicht vergessen!
ldapsearch -x "(&(cn=Radius)(uid=schulze:h. schulze))"

HTH
mamue

ja genau so was suche ich!

wenn ich einen ldapsearch mache sie du es beschrieben hast bekomme ich den / die entpsrechenden user zurück. wenn ich (uid=%{Stripped-User-Name:-%{User-Name}}) im radius habe, dann bekomme ich keinen wert zurück!

gruss

dirk

Du könntest in der slapd.conf den loglevel hoch setzen und zwar genau auf 256. In der manpage zu slapd.conf steht, ob ich recht habe. Du solltest dann die search-filter, wie sie von allen ldap-clients, also ldapsearch und auch radius im Logfile angezeigt bekommen.

mamue